Llei de protecció de l’informant
Des del passat 13 de març de 2023 es troba en vigor la Llei 2/2023, de 20 de febrer, més coneguda com a Llei de protecció de l’informant, reguladora de la protecció de les persones que informin sobre infraccions normatives i de lluita contra la corrupció.
Aquesta norma transposa a l’ordenament jurídic espanyol de la Directiva 2019/1937 del Parlament Europeu i del Consell, del 23 d’octubre del 2019, relativa a la protecció de les persones que informin sobre infraccions del Dret de la Unió.
Múltiples són les anàlisis a realitzar en relació amb aquesta norma, per la qual cosa aquí ens centrarem específicament, i de manera breu, en un aspecte, sens dubte, relacionat amb els mecanismes que preveu aquesta llei, que no és cap altre que la seva connexió amb els drets i obligacions de la normativa de protecció de dades.
Aquesta llei de Protecció de l’Informant preveu l’obligatorietat en empreses de més de 50 treballadors d’implantar un sistema intern d’informació per tal que els òrgans d’administració puguin conèixer les denúncies presentades per múltiples subjectes relacionats amb l’empresa, des de treballadors a professionals externs passant pels accionistes d’una societat.
Doncs bé, la implantació dels sistemes implicarà, gairebé amb total seguretat, el tractament de dades personals addicionals, que poden anar des de les de la mateixa persona denunciant, a la persona o persones denunciades (si fos el cas) fins a les persones autoritzades dins de l’organització per accedir a aquesta informació.
La implantació d’aquests sistemes també té altres conseqüències en matèria de protecció de dades com ara, quina és la base legitimadora del tractament d’aquestes dades, el temps d’emmagatzematge o la mesura “estrella” de la Llei: la possibilitat que la identitat del denunciant es mantingui anònima.
Llei de protecció de l’informant: Què cal tenir en compte en matèria de protecció de dades?
Polítiques de Privadesa: hauràs d’adaptar o redactar polítiques de privadesa adequades al tipus de tractament relacionat amb els sistemes interns d’informació, a fi que qui completi i remeti una denúncia conegui l’ús que es farà de la informació.
Polítiques d’accés a la informació: únicament estan legitimats legalment per tenir accés a les denúncies, fer-ne el seguiment i, si escau, el tancament: el responsable del sistema, el responsable de recursos humans, el responsable dels serveis jurídics, els encarregats del tractament designats (amb les garanties de la normativa de protecció de dades) i el delegat de protecció de dades. Serà convenient analitzar si les persones autoritzades han d’acceptar compromisos de confidencialitat addicionals o complementaris als que ja tinguin signats.
Eliminació de dades: no es poden tractar dades personals no necessàries per a la investigació de les conductes denunciables segons la Llei; en aplicació del principi de proporcionalitat, únicament es poden tractar les dades personals necessàries per a la investigació dels delictes emparats per la Llei, esborrant-los de manera immediata si aquest no fos el cas.
El mateix aplica si a la informació rebuda s’incloguessin dades especialment sensibles (com de salut, orientació sexual, raça o similars). Addicionalment, transcorreguts 3 mesos des de la recepció de la denúncia, sense que s’hagin iniciat accions de recerca, les dades hauran de ser suprimides del sistema. Finalment, i com a màxim, les dades personals no podran mantenir-se al sistema més de 10 anys, siguin quines siguin les circumstàncies.
Dret a l’anonimat: La Llei preveu el dret a presentar denúncies anònimes i que els Sistemes d’informació permetin tècnicament aquesta possibilitat. Sorprèn, en aquest punt, la menció expressa que la identitat del denunciant únicament es podrà facilitar “a l’Autoritat judicial, al Ministeri fiscal o a l’autoritat administrativa competent en el marc d’una investigació penal, disciplinària o sancionadora”. Dic que sorprèn perquè un requisit de l’anonimització és que sigui impossible la identificació de la persona les dades de la qual s’han anonimitzat, per la qual cosa caldrà veure com se soluciona això a la pràctica.
Caldrà, doncs, seguir de prop la implantació pràctica d’aquesta llei i de quina manera les empreses afectades van prenent mesures per complir-la. Sens dubte, ens trobem davant d’un text legal amb fortes i importants implicacions en matèria de protecció de dades personals, per la qual cosa l’adopció de les mesures de la Llei de Protecció de l’Informant ha de ser observada també i de manera especial des del punt de vista de la LOPD i l’RGPD.
Si ets una empresa afectada per aquesta nova llei i necessites més informació, no dubtis en contactar amb nosaltres!:
Informació sobre protecció de dades
Denominació social
LEGAL IT GLOBAL 2017, SLP
Finalitat
Prestar el servei.
Enviament del Boletí informatiu.
Legitimització
Compliment de la prestació de servei.
Consentiment.
Destinataris
Les teves dades no seran compartides amb cap tercer, excepte aquells proveïdors de serveis amb els que disposem d’un contracte de serveis vigent.
Drets
Pots accedir, rectificar o suprimir les dades, així com exercir els drets que s’esmenten en la nostra Política de Privacitat.
Més informació
Consulta la Política de Privacitat.